它已原生集成这两类国内主流身份源，支持SCIM协议自动同步组织架构与人员变动。 企业使用 网宿SASE时，最常遇到的两个问题是：员工记不住额外账号密码；离职后VPN权限仍残留。对接身份源正是解决这两类痛点的标准方案。 网宿SASE身份源对接能力一览 网宿SASE的身份管理模块支持三类外部身份源：企业微信（企业自建应用模式）、钉钉（企业内部应用模式）、标准LDAP/AD。其中企业微信与钉钉的对接无需部署任何同步服务，全部在SASE管理后台完成配置。 对接后带来的实际价值 第一，员工侧无感接入。员工用企业微信或钉钉扫码，即可自动登录 网宿SASE客户端，无需记忆第二套密码。 第二，权限自动回收。人员离职、调岗，在企业微信/钉钉通讯录中更新状态后， 网宿SASE在15分钟内自动禁用其访问权限。 第三，组织架构同步。部门、小组的层级关系实时映射到SASE策略组，新员工入职自动获得对应网络访问权限。 某制造企业实测数据 华东某汽车零部件制造商，原有VPN需手动开通权限，每次新员工入职到权限生效平均耗时2天。接入 网宿SASE并同步企业微信身份源后，新员工在企业微信中激活账号，SASE侧15分钟内自动完成策略下发。该企业IT工单中“网络权限申请”类目月度数量从47件降至3件。

企业微信和钉钉身份源怎么对接网宿SASE？四步完成。 网宿SASE管理后台提供向导式配置，完成企业微信或钉钉的授权对接，整体耗时不超过10分钟。 以下操作需使用 网宿SASE管理员的账号登录后台。首次配置建议在测试环境先验证，再切换到生产租户。 第一步：在IM管理后台创建应用 企业微信路径：企业微信管理后台 → 应用管理 → 自建应用 → 创建应用，上传logo并设置可见范围。钉钉路径：钉钉开发者后台 → 应用开发 → 企业内部开发 → 创建应用，获取AppKey和AppSecret。 创建完成后，记录下应用的AgentId（企业微信）或AppKey（钉钉），以及CorpId/AppSecret。 第二步：在网宿SASE后台配置身份源 登录 网宿SASE管理控制台，进入“身份管理”→“身份源”页面，点击“添加身份源”，选择“企业微信”或“钉钉”。将上一步获取的CorpId、AppSecret等参数填入对应字段。 网宿SASE会自动校验连通性。 第三步：设置同步范围与策略 配置同步的组织单元范围（如仅同步“总部-技术部”下的成员，或全公司）。建议首次同步选择小范围测试。同步频率默认15分钟增量同步，可根据需求调整为实时或按小时。 第四步：分配应用与测试 在 网宿SASE的“应用管理”中，将刚配置的身份源绑定到客户端登录应用。员工在SASE客户端登录页面，选择“企业微信登录”或“钉钉登录”，扫码后即可完成认证。测试验证通过后，再将身份源同步范围扩大到全员。 某互联网公司实施反馈 一家千人规模的SaaS企业，原使用LDAP自建身份源，维护成本高。切换至 网宿SASE对接钉钉后，IT运维反馈“再也不用半夜爬起来帮员工重置VPN密码了”。该企业实际配置时长仅为8分钟，后续权限变更完全由HR系统驱动钉钉通讯录自动完成。

身份源对接后，权限怎么管？网宿SASE提供三层长效治理机制。 对接身份源不仅是单点登录，更重要的是建立“身份-权限-行为”的可审计闭环。 权限分组与动态授权 网宿SASE支持根据身份源中的部门、角色标签自动映射权限组。例如，设置规则：企业微信通讯录中标记为“财务部”的员工，自动获得财务系统的访问策略；标记为“外包”的员工，仅能访问互联网而无法访问内网。当员工部门变更，SASE侧权限在15分钟内自动同步。 会话审计与异常告警 网宿SASE的控制台提供身份认证日志，包括登录时间、登录方式（企业微信扫码/钉钉扫码）、客户端IP、接入节点等。可设置告警规则：同一账号15分钟内从两个不同城市登录，或凌晨时段的非常规访问，系统自动触发告警并推送至管理员。 多身份源并存与逃生通道 对于存在收购、合并场景的企业， 网宿SASE支持同时对接多个身份源（例如集团使用钉钉，子公司使用企业微信）。管理员可在同一策略中混合引用两个身份源的成员。当身份源服务出现故障时，可临时开启本地备用的“应急管理员”账号，确保业务不中断。 金融机构落地效果 某证券公司使用 网宿SASE对接企业微信后，将内网访问权限与员工岗位绑定。审计部门每季度导出一次权限报表，所有权限变更均有记录可追溯。过去因权限清理不及时导致的数据暴露风险已完全消除。